LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT
Mars 1996 2 LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 3
REMERCIEMENTS
Le Secrétariat général de la Commission bancaire remercie le Forum des Compétences et ses 1membres , représentants des principaux établissements de crédit de la Place, pour l'aide précieuse qu'ils ont bien voulu lui apporter dans l'approfondissement de sa réflexion sur la sécurité de l'information dans le monde bancaire -et qui trouve ici sa traduction dans ce "Livre blanc"-, ainsi que tous les établissements de crédit qui ont répondu au questionnaire sur le 2"risque informatique" lancé par le S.G.C.B. en 1992 .
1 La liste des participants figure en annexe XII. 2 Les analyses et résultats ont fait l'objet d'un "Livre bleu" envoyé uniquement aux participants choisis pour répondre à ce questionnaire. Ils ont fait, toutefois, l'objet de présentations résumées dans plusieurs enceintes et de publications -notamment dans la revue BANQUE n° 547 d'avril 1994-. LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 4
LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 5 PRÉAMBULE En 1991, le Secrétariat général de la Commission bancaire a mené une ...
COMMISSION BANCAIRE
LIVRE BLANC
SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION
DANS LES ÉTABLISSEMENTS DE CRÉDIT
Mars 1996 2
LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 3
REMERCIEMENTS
Le Secrétariat général de la Commission bancaire remercie le Forum des Compétences et ses
1membres , représentants des principaux établissements de crédit de la Place, pour l'aide
précieuse qu'ils ont bien voulu lui apporter dans l'approfondissement de sa réflexion sur la
sécurité de l'information dans le monde bancaire -et qui trouve ici sa traduction dans ce "Livre
blanc"-, ainsi que tous les établissements de crédit qui ont répondu au questionnaire sur le
2"risque informatique" lancé par le S.G.C.B. en 1992 .
1 La liste des participants figure en annexe XII.
2 Les analyses et résultats ont fait l'objet d'un "Livre bleu" envoyé uniquement aux participants choisis pour répondre à ce questionnaire. Ils ont
fait, toutefois, l'objet de présentations résumées dans plusieurs enceintes et de publications -notamment dans la revue BANQUE n° 547 d'avril
1994-.
LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 4
LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 5
PRÉAMBULE
En 1991, le Secrétariat général de la Commission bancaire a mené une réflexion sur la prise en
compte du "risque systémique dans la surveillance prudentielle des établissements de crédit"
qui comportait quatre volets et dont les principaux résultats ont été publiés dans le Rapport
annuel de la Commission bancaire.
L'un de ces volets avait trait aux risques informatiques dans le monde bancaire. A cette
occasion, une enquête comportant un questionnaire sur 4 thèmes (détermination du "risque
maximal tolérable", évaluation du niveau de sécurité, poids des contraintes budgétaires et
couverture des risques par les assurances, appréciation de la qualité de l'informatique de
l'établissement) a été faite en 1992 auprès d'un échantillon représentatif d'établissements de
crédit.
Les résultats complets ont été rétrocédés aux banques interrogées et ont fait l'objet de synthèses
dans des publications ou lors de communications à destination de la Profession bancaire.
Il a paru utile de poursuivre ce travail par la publication d'un "Livre blanc sur la sécurité des
systèmes d'information dans les établissements de crédit" à destination de leurs dirigeants et de
leurs spécialistes. La préparation de cet ouvrage a reçu le soutien technique des principaux
3établissements de la Place au travers du Forum des Compétences .
La Commission bancaire considère que la sûreté des systèmes d'information fait partie
intégrante de la sécurité des établissements de crédit dont elle a la responsabilité. Ces derniers
ont un devoir de sécurité vis-à-vis de leurs clients, d'eux-mêmes et de l'ensemble du système
bancaire.
Toutefois, afin de ne pas alourdir le poids des textes réglementaires en précisant, à cet égard, le
contenu des règlements du Comité de la Réglementation bancaire n° 90-08 -sur le contrôle
4interne- et 91-04 -sur l'organisation de l'information comptable-, la Commission bancaire a
préféré procéder à l'écriture d'un Livre blanc à visée pédagogique sous forme de conseils, de
recommandations et d'exposé des meilleures pratiques.
Parallèlement à ce qui, dans le monde anglo-saxon, est connu sous le nom de "best practice
paper", un effort de sensibilisation des Directions générales a été entrepris grâce à l'envoi par le
Secrétaire général de la Commission bancaire d'une lettre portant sur ces thèmes et invitant à la
5réflexion tous les dirigeants bancaires . Elle indiquait que la Commission bancaire était très
attachée à ce que le niveau de sécurité des systèmes informatiques fut périodiquement mesuré
et que, le cas échéant, les actions nécessaires à son amélioration fussent entreprises. Elle
estimait, également, que la définition des objectifs généraux de sécurité de l'établissement et
leur contrôle, in fine, incombaient à la Direction générale de chaque établissement. Elle
formulait, enfin, quelques questions fondamentales auxquelles il paraissait souhaitable
d'apporter une réponse et annonçait la publication de recommandations sous forme d'un Livre
blanc.
Celui-ci aborde, dans une première partie, les risques liés aux systèmes d'information des
établissements de crédit et les conséquences qu'un dysfonctionnement éventuel pourrait
engendrer avant d'aborder, dans une deuxième partie, les outils de mesure du risque. Une
3 Auquel la Banque de France (et donc le Secrétariat général de la Commission bancaire -SGCB-) appartient également.
4 Rappelés en annexe II.
5 Cette lettre figure en annexe I.
LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 6
troisième partie traite des parades possibles. Enfin, une quatrième partie formule des
recommandations.
Volontairement synthétique, ce texte renvoie à des annexes où sont analysés les principaux
risques sous forme de fiches classées, par commodité, par ordre alphabétique et structurées de
façon identique entre "définition", "risques", "parades" (ou "mesures à prendre") et "critères de
qualité" ou recommandations à observer pour atteindre un bon niveau de sécurité. Le style de
ces fiches est volontairement cursif pour ne pas alourdir le Livre blanc.
D'autres annexes donnent notamment :
- un mini-questionnaire et une table de comparaison permettant à la banque,
respectivement d'évaluer directement son niveau de sécurité et de se situer par
rapport à ses confrères,
- un récapitulatif des risques, des facteurs de sécurité et des méthodes d'analyse
du risque,
- un exemple de prise en compte de la sécurité dans les applications,
- un exemple de charte de sécurité,
- des renseignements pratiques.
LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT
7
ET POUR COMMENCER
(un mini questionnaire destiné aux responsables)
Tout dirigeant d'établissement, conscient des problèmes posés par la sécurité de son
système d'information, devrait être en mesure de répondre précisément aux cinq
questions suivantes :
Avez-vous défini et formalisé par écrit les objectifs de sécurité informatique pour
votre établissement ? Les avez-vous communiqués à vos collaborateurs ?
Avez-vous attribué à un collaborateur direct la fonction de responsable de la
sécurité du système d'information (RSSI) de votre établissement ?
Avez-vous déterminé vos vulnérabilités informatiques et évalué les pertes
financières (directes ou indirectes) qu'elles pourraient occasionner ?
Connaissez-vous votre "risque maximal tolérable" (RMT), calculé comme une
proportion de vos fonds propres que vous "acceptez de perdre" à la suite d'un
sinistre touchant votre système d'information ? Autrement dit : quelle est la limite
maximale de perte que vous avez fixée pour ne pas remettre en cause la pérennité
de votre établissement ?
En cas d'indisponibilité durable de votre système informatique, par exemple
aujourd'hui, savez-vous dans quel délai vos services pourraient reprendre une
activité normale ?
Si vous ne savez pas actuellement répondre à l'une de ces questions, il vous est
suggéré de vous faire transmettre cette information par votre RSSI (ou par le
responsable sécurité de votre établissement) et d'en faire une analyse critique. Pour
vos collaborateurs, le présent ouvrage peut servir de guide sur les actions à
entreprendre et les moyens à mettre en œuvre pour y parvenir. Mais la lecture de ce
document peut rester fructueuse pour tous les RSSI car il est le fruit d'une mise en
commun de l'expérience de plusieurs de leurs collègues.
N.B. : Une lettre du Secrétaire général de la Commission bancaire a été envoyée à tous les Présidents des
établissements de crédit pour attirer leur attention sur les risques que présentent les systèmes
d'information ; elle contient ces cinq questions (cf. ANNEXE I).
LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 8
LIVRE BLANC SUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DANS LES ÉTABLISSEMENTS DE CRÉDIT 9
I - CONSTATS
Plus que pour les autres industries, la menace informatique constitue un danger réel pour les
établissements de crédit.
Or, les banques ont un devoir de sécurité vis-à-vis d'elles-mêmes, de leurs clients et du système
bancaire.
Les enquêtes réalisées, notamment par le S.G.C.B., indiquent que le niveau de sécurité des
systèmes informatiques des établissements de crédit est encore perfectible.
1. Une menace spécifique pour les banques
L'informatique joue un rôle stratégique dans les banques, en raison des répercussions pour
l'établissement dans lequel une difficulté apparaîtrait, mais aussi pour ses clients si les
problèmes rencontrés sont suffisamment importants pour que des données disparaissent ou,
plus grave, que les règlements de toute nature et notamment le remboursement des dépôts
soient compromis.
Les risques induits par les défaillances informatiques sont plus élevés dans les établissements
de crédit que pour d'autres secteurs de l'économie parce qu'ils peuvent également entraîner des
conséquences fâcheuses pour les autres établissements qui sont en relation avec lui, et même, à
la limite, avoir des répercussions pour la Place et pour l'économie nationale si l'incident était de
nature à provoquer un "risque systémique".
Pour les établissements de crédit, l'informatique est devenue un "outil de production" principal
et "incontournable" : les valeurs monétaires, dématérialisées, sont contenues, stockées,
transportées, valorisées grâce à elle.
L'impact des problèmes que peut rencontrer une banque